Cómo verificar DNS sinkholing en 9.0 y 9.1
Objective
Antes de PAN-OS las 9.0, realizar una DNS consulta a un dominio malicioso que coincida con la firma palo alto networks se DNS resolverá en la dirección del sumidero: IP 75.5.65.111.
A partir de PAN-OS las 9.0, realizar una DNS consulta a un dominio malintencionado que coincida con la firma o el servicio de Palo Alto Networks no se resuelve en direcciones de DNS DNS Security sumidero. IP
Cuando se realiza una DNS búsqueda a un dominio malicioso, esto se CNAME devolverá en lugar de un A registro O Es por eso que cuando se mira el cuadro de configuración de AAAA DNS Sinkhole se ve Sinkhole IPv4 Palo Alto Networks Sinkhole IP (sinkhole.paloaltonetworks.com) en lugar de lo que solía ver en los sistemas operativo más antiguos, Palo Alto Networks Sinkhole IP (75.5.65.111)
Al pasar de OS 8. líneas esto puede ser confuso. Estamos acostumbrados a ver la dirección del Sumidero de Palo Alto. (75.5.65.111)
Procedure
Para probar las funciones de DNS sumidero es mejor obtener una nueva de la última lista publicada de URL URL maliciosas.
Para obtener esta lista vaya a la pestaña Dispositivo y seleccione DActualizaciones ynatómicas y compruebe las notas de la versión del contenido instalado AV actualmente.
La lista aparecerá en una nueva ventana, simplemente desplácese hacia abajo de la lista hasta que se vean nuevas firmas de spyware.
Seleccione cualquier dominio de la lista. Asegúrese de seleccionar solo la FQDN firma y no la firma.
La primera parte es el nombre de firma Backdoor.bladabindi la segunda mitad es la FQDN que es la parte que necesita utilizar para probar.
Por ejemplo, Backdoor.bladabindi:flexin.duckdns.org la única parte que necesita es flexin.duckdns.org.
Al realizar un Nslookup en un con firewall unOS de 8.1 vemos el Palo Alto Sinkhole IP
Ahora con 9.0 vemos la respuesta no autorizada pero sin dirección. Esto se debe a que la respuesta es un cname no una dirección.
Si escribemos >set type=cname obtenemos lo siguiente.
Como puede ver, la DNS solicitud ahora devuelve el Cname de sinkhole.paloaltonetworks.com.
Si necesita una IP dirección para mostrar que se recomienda utilizar una de sus propias direcciones de sumidero IP o la dirección de bucle invertido.
Los 9.0 y 9.1 La firma o servicio de Palo Alto Networks DNS no se resuelve en direcciones de DNS Security sumidero. IP Solo resolverá un Cname y solo si establece nslookup para mostrarlo.
La solicitud seguirá siendo sinkholed y bloqueado simplemente no resuelve una IP dirección.
Si se establece en la dirección de bucle invertido o una dirección de su elección de la devolución será esa dirección, y la solicitud seguirá sinkholed.